**引入全新的主机体验 Amazon WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 向 SRT 授予访问权限 本页说明如何授予 SRT 代表您行事的权限,以便他们可以访问您的 Amazon WAF 日志、调 Amazon WAF APIs 用 Amazon Shield Advanced 和管理保护。 在应用层 DDo S 事件期间,SRT 可以监控 Amazon WAF 请求以识别异常流量,并帮助制定自定义 Amazon WAF 规则以缓解违规流量来源。 此外,您可以向 SRT 授予访问您存储在 Amazon S3 存储桶中的其他数据的权限,例如来自应用程序负载均衡器 CloudFront、Amazon 或第三方来源的数据包捕获或日志。 **注意** 要使用 Shield Response Team (SRT) 的服务,您必须订阅 [Business Support 计划](https://www.amazonaws.cn/premiumsupport/business-support/)或[企业支持计划](https://www.amazonaws.cn/premiumsupport/enterprise-support/)。 **管理 SRT 的权限** 1. 在 Amazon Shield 控制台**概述**页面的**配置 Amazon SRT 支持**下,选择**编辑 SRT** 访问权限。**编辑 Amazon Shield 响应小组 (SRT) 访问**页面打开。 1. 对于 **SRT 访问设置**,请选择以下选项之一: + **不要授予 SRT 访问我的账户的权限**:Shield 会删除您之前授予 SRT 访问您的账户和资源的任何权限。 + **为 SRT 创建一个访问我的账户的新角色**:Shield 创建一个代表 SRT 的服务主体的角色 `drt.shield.amazonaws.com`,并将托管策略 `AWSShieldDRTAccessPolicy` 附加到该主体。托管策略允许 SRT 代表您拨 Amazon WAF 打 API 调用和访问您的 Amazon WAF 日志。 Amazon Shield Advanced 有关托管策略的更多信息,请参阅 [Amazon 托管策略: AWSShieldDRTAccess策略](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。 + **选择一个现有角色让 SRT 访问我的账户** — 对于此选项,您必须按如下方式修改 Amazon Identity and Access Management (IAM) 中角色的配置: + 将托管策略 `AWSShieldDRTAccessPolicy` 附加到角色。此托管策略允许 SRT 代表您拨 Amazon WAF 打 API 调用并访问您的 Amazon WAF 日志。 Amazon Shield Advanced 有关托管策略的更多信息,请参阅 [Amazon 托管策略: AWSShieldDRTAccess策略](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。有关如何将托管策略附加到角色的信息,请参阅[附加和分离 IAM 策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。 + 修改角色以信任 `drt.shield.amazonaws.com` 服务主体。这是代表 SRT 的服务主体。有关更多信息,请参阅 [IAM JSON 策略元素:主体](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_principal.html)。 1. 对于**(可选):授予 SRT 访问 Amazon S3 存储桶**的权限,如果您需要共享 Amazon WAF Web ACL 日志中没有的数据,请进行此配置。例如,Application Load Balancer 访问 CloudFront 日志、Amazon 日志或来自第三方来源的日志。 **注意** 您无需为 Amazon WAF Web ACL 日志执行此操作。当您授予账户访问权限时,SRT 将获得访问权限。 1. 根据以下准则配置 Amazon S3 存储桶: + 存储桶的位置必须与您在之前的步骤 **Amazon Shield Response Team (SRT) 访问权限中授予 SRT** 一般访问权限的存储桶位置相同 Amazon Web Services 账户 。 + 存储桶可以是纯文本,也可以采用 SSE-S3 加密。有关 Amazon S3 SSE-S3 加密的更多信息,请参阅《Amazon S3 用户指南》中的[使用具有 Amazon S3 托管式加密密钥的服务器端加密 (SSE-S3) 保护数据](https://docs.amazonaws.cn/AmazonS3/latest/dev/UsingServerSideEncryption.html)。 SRT 无法查看或处理存储在使用存储在 Amazon Key Management Service ()Amazon KMS中的密钥加密的存储桶中的日志。 1. 在 Shield Advanced**(可选):授予 SRT 访问 Amazon S3 存储桶的权限**部分,对于存储您的数据或日志的每个 Amazon S3 存储桶,输入存储桶的名称并选择**添加存储桶**。您最多可以添加 10 个存储桶。 这将授予 SRT 对每个存储桶的以下权限:`s3:GetBucketLocation`、`s3:GetObject` 和 `s3:ListBucket`。 如果您想授予 SRT 访问超过 10 个存储桶的权限,则可以编辑其他存储桶策略并手动授予此处列出的 SRT 权限。 下面是一个策略列表示例。 ``` { "Sid": "AWSDDoSResponseTeamAccessS3Bucket", "Effect": "Allow", "Principal": { "Service": "drt.shield.amazonaws.com" }, "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ``` 1. 选择 **保存** 以保存您的更改。 [您也可以通过 API 授权 SRT,方法是创建 IAM 角色,将策略 AWSShieldDRTAccess策略附加到该角色,然后将该角色传递给操作助理。DRTRole](https://docs.amazonaws.cn/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html)